{ "schema": "https://saferpage.de/schemas/privacy-program-maturity.v1", "generated_at": "2026-06-08T19:02:19+00:00", "domain": "bvmw.de", "available": true, "scan": { "id": "4a3c3f62-593b-4f89-accb-6105a2340a06", "checked_at": "2026-06-07 12:44:15.942347+02" }, "summary": "PrivacyOps-Reifegrad 64/100 (etabliert mit Lücken): 3 Dimension(en) unter 50 Punkten, 3 kritisch.", "maturity_score": 64, "maturity_level": 3, "stage_label": "etabliert mit Lücken", "dimension_count": 11, "critical_gap_count": 3, "dimensions": [ { "id": "pia_dpia", "label": "PIA/DPIA & Privacy by Design", "score": 20, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.", "operator_action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "owner": "Datenschutz/Product", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "vendor_risk", "label": "Vendor Risk & Vertragsmanagement", "score": 20, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "5 Anbieter, 5 AVV-/DPA-Prüfungen, 5 Transferfragen.", "operator_action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "incident_breach_response", "label": "Incident & Breach Response", "score": 35, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 2 kritisch, 3 hoch/kritisch und 4 offene Nachweisposition(en).", "operator_action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "owner": "DSB/Legal/IT", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "privacy_rights", "label": "Betroffenenrechte / DSAR", "score": 64, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Betroffenenrechte-Readiness: 64/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "operator_action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "owner": "Support/Datenschutz", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "consent_governance", "label": "Consent & Cookie Governance", "score": 66, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Consent-Score 66, Cookie-Retention-Risiken 0.", "operator_action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "owner": "Marketing/IT", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "data_inventory_mapping", "label": "Dateninventar, RoPA & Data Map", "score": 72, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "4 Verarbeitungstätigkeiten, 36 Knoten, 45 Kanten.", "operator_action": "Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.", "owner": "Datenschutz/IT", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "remediation_workflow", "label": "Remediation & Programmsteuerung", "score": 75, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Remediation Workflow mit 8 Ticket(s): 8 sofort starten, 0 einplanen, 0 im Backlog.", "operator_action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "owner": "Programm-Owner", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "security_accessibility", "label": "Security & Barrierefreiheit", "score": 80, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "owner": "IT/Web", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "monitoring_evidence", "label": "Monitoring, Audit-Belege & Change Management", "score": 85, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.", "operator_action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.", "owner": "Compliance/IT", "review_cadence": "monatlich", "guide_url": "/monitoring" }, { "id": "notices_transparency", "label": "Hinweise & Transparenz", "score": 90, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 1.", "operator_action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.", "owner": "Datenschutz/Content", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "trust_center", "label": "Trust Center & externe Nachweise", "score": 95, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Trust-Center-Readiness: 95/100 Punkte. 11/12 Baustein(e) sind aus dem Scan heraus belegbar.", "operator_action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.", "owner": "Legal/Marketing", "review_cadence": "monatlich", "guide_url": "/datenschutz-webseiten-report/" } ], "roadmap": [ { "horizon": "0-14 Tage", "priority": "hoch", "title": "PIA/DPIA & Privacy by Design verbessern", "owner": "Datenschutz/Product", "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Vendor Risk & Vertragsmanagement verbessern", "owner": "Legal/Vendor Owner", "action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Incident & Breach Response verbessern", "owner": "DSB/Legal/IT", "action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Betroffenenrechte / DSAR verbessern", "owner": "Support/Datenschutz", "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Consent & Cookie Governance verbessern", "owner": "Marketing/IT", "action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Dateninventar, RoPA & Data Map verbessern", "owner": "Datenschutz/IT", "action": "Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Remediation & Programmsteuerung verbessern", "owner": "Programm-Owner", "action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Security & Barrierefreiheit verbessern", "owner": "IT/Web", "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" } ], "board_questions": [ "Welche drei Datenschutzrisiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?", "Sind Owner, Fristen und Nachweise für Consent, Anbieter, DSAR, Assessments, Controls und Monitoring benannt?", "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?", "Wie werden neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft?" ], "links": { "maturity_center": "https://saferpage.de/reifegrad/bvmw.de", "json": "https://saferpage.de/reifegrad/bvmw.de/export", "csv": "https://saferpage.de/reifegrad/bvmw.de/export-csv", "roadmap_markdown": "https://saferpage.de/reifegrad/bvmw.de/roadmap-md", "report": "https://saferpage.de/bvmw.de", "trust_center": "https://saferpage.de/trust/bvmw.de", "assessment_center": "https://saferpage.de/assessment/bvmw.de", "operator_board": "https://saferpage.de/betreiber/bvmw.de", "risk_center": "https://saferpage.de/risiko/bvmw.de", "methodology": "https://saferpage.de/methodik" }, "benchmark_hint": "Reifegrad aus öffentlicher Website-Evidenz, SaferPage-Modulen und Betreiber-Artefakt-Hinweisen. Kein internes Rechtsaudit.", "disclaimer": "Automatisch abgeleiteter PrivacyOps-Reifegrad. Interne Prozesse, Verträge, Schulungen, Systeme und Freigaben muss der Betreiber ergänzen." }